Owl Content » Blog Archive » Mobile Sicherheitslücke bei SchülerVZ?

Mobile Sicherheitslücke bei SchülerVZ?

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.

Unsere Berichterstattung über Datenlecks bei SchülerVZ ist nun auch wieder drei Monate her. SchülerVZ hat Besserung gelobt, die technischen Hürden für ein massenhaftes Auslesen hoch gesetzt und hat nun auch ein TÜV Süd-Zertifikat für besonders viel Datensicherheit erhalten. Allerdings scheint man bei den ganzen Maßnahmen die mobile Version vergessen zu haben. Die kann man nicht nur vom Handy aus aufrufen, sondern ganz bequem über den Browser über die URL m.schuelervz.net. Dort surft man dann genauso wie bei der “offiziellen” Version über die Profile. Die Profilseiten enthalten die üblichen Angaben wie Foto, Name, Schule, Alter, Wohnort und darüber hinaus auch Hobbys, Vorlieben, etc.

Das kann man wohl auch Scripte sammeln lassen und die Daten aus dem Netzwerk rausziehen. Technische Schutz-Maßnahmen wie Captchas sind uns nicht aufgefallen. Wir haben darauf verzichtet, Scripte zu schreiben, um zu schauen, wie wir über bewährte Angriffsmethoden wie “von Profil zu Profil springen und alles abspeichern” wieviele Daten massenhaft auslesen können. Uns wurde aber berichtet, dass es diese Scripte gibt und dass sie funktionieren. Wir haben die Hinweise nur manuell verifiziert, indem wir schnell hintereinander zahlreich von Profil zu Profil gesprungen sind. Dabei sind uns keinerlei Sicherheitsabfragen aufgefallen, die nach den Datenlecks bei der “richtigen” Version unter schuelervz.net eingeführt worden sind, um dort massenhaftes Auslesen durch Scripte etwas zu unterbinden.

Wir haben heute diese drei Fragen an SchülerVZ geschickt und warten mal auf eine Antwort:

1. Nach den öffentlichen Datenlecks im Herbst 2009, wo Sicherheitslücken bekannt wurden, die das massenhafte Auslesen von Daten ermöglichten, wurden Sicherheitsmaßnahmen gegen das massenhafte Auslesen getroffen. Warum wurde die mobile Version vergessen, bzw. was wurde dort gemacht?

2. Der TÜV-Süd hat aktuell die VZ-Gruppe zertifiziert. Wurde dabei auch die mobile Version überprüft?

3. Wann wird die mobile Version besser gegen massenhaftes Auslesen gesichert?

Auch hier stellt sich natürlich wieder die Frage, wie oft durch fehlende technische Hürden die Daten von wie vielen Kindern und Jugendlichen ausgelesen worden sind?

von netzpolitik.org � Datenschutz, gepostet am Freitag, 29. Januar 2010 um 15:27

Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:

Festnahme wegen SchülerVZ-Datenleck Nach Angaben von SchülerVZ gab es gestern die Festnahme eines 20-jährigen in Berlin. Dabei handelt es sich nicht um meine
[Blog] Malte Spitz: Vorratsdatenspeicherung bei T-Mobile geht weiter (26.01.12) Malte Spitz ist weltweit bekannt geworden, als er von T-Mobile die zu seiner Person gespeicherten Vorratsdaten herausklagte und veröffentlichte (http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten).
Da gehen sie hin, Eure Daten Datenlecks bei T-Mobile seit 2006 bekannt: Mitarbeiter der Deutsche-Telekom-Tochter T-Mobile konnten laut einem internen Bericht schon 2006 ungehindert auf Geheimdaten
Datenschutzfreundliche Prepaid-Mobilfunkkarten Nicht nur die Vorratsdatenspeicherung bedroht die Privatsphäre telekommunizierender Bürger. Auch Datenabgleiche und -übermittlungen von und an zentrale Wirtschaftsauskunfteien wie der
Bericht: Erotik-Unternehmer lagert T-Mobile-Kundendatenbank Bericht: Erotik-Unternehmer lagert T-Mobile-Kundendatenbank - das ganze wird immer Absurder und Seltsamer. Wobei zugegebenermaßen die Lagerung der 17 Millionen